Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Offene Key-Value Stores

11. Februar 2015

Wie Heise berichtet wurden in den letzten Tagen von einer Gruppe Studenten zehntausende vollständig ungesicherte Instanzen der NoSQL-Datenbank MongoDB im Internet entdeckt. In den meisten Fällen war nicht nur lesender Zugriff sondern auch die Manipulation von Datensätzen möglich.

Die Ursachen für diese grosse Anzahl an verwundbaren Systemen lassen sich laut der Analyse der Studenten auf folgende Punkte zusammenfassen:

  • Die Standardeinstellungen von MongoDB sind darauf ausgelegt dass die Datenbank auf der selben Maschine liegt wie die Software, die darauf zugreift - Erreichbarkeit über das Netzwerk ist darin nicht vorgesehen.
  • Die Dokumentationen und Richtlinien für die Konfiguration von MongoDB-Servern die über das Netzwerk erreichbar sein sollen ist in Bezug auf notwendige Authentifizierungsmassnahmen nicht explizit genug.
Dies kann dazu führen dass ein unerfahrener Administrator bei der Einrichtung wichtige Sicherheitsmassnahmen nicht aktiviert und damit ein grosses Einfallstor für potentielle Angreifer offen lässt.

Leider betrifft diese Problematik nicht nur MongoDB sondern auch andere verbreitete Produkte wie memcached und redis (beide binden sich in der Standardkonfiguration an alle verfügbaren Interfaces.).

Das luxemburgische Computer Incident Response Center CIRCL hat eine Reihe von Empfehlungen für eine sichere Konfiguration dieser Services veröffentlicht. CERT.at hat die Informationen über betroffene Systeme (sowohl für MongoDB als auch für ähnliche Fälle) an die jeweiligen ISPs weitergeleitet.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
DNS Flag Day am 01.02.2019
22. Jänner 2019 | Am ...
Datenleak - mal ganz ohne Hype
11. Jänner 2019 | Man ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/2/11 - 09:03:20
Haftungsausschluss / Datenschutzerklärung